Symantec Endpoint Protection に含まれるツール

この記事では、
Symantec Endpoint Protection
に含まれるツールとその使用方法について説明します。

インストールファイルに含まれているツール

以下のツールとマニュアルは、Broadcom Download Management ページからダウンロードする
Symantec Endpoint Protection
インストール ファイルの \Tools フォルダにあります。
ApacheReverseProxy (12.1.4 以降)
このツールを使って、Symantec Endpoint Protection Manager で Apache Web サーバーを設定して、Mac クライアントと Linux クライアントが Web サーバーを介して LiveUpdate コンテンツをダウンロードできるようにします。新しいコンテンツが公開されるたびに、Apache Web サーバーが
Symantec Endpoint Protection Manager
と連動して、Mac と Linux クライアント用の LiveUpdate コンテンツをローカルにダウンロードしてキャッシュに保存します。
このツールは、クライアント数が少ないネットワークに適しています。
CentralQ (12.1.6 以前)
Symantec Endpoint Protection
では、感染ファイルとそれらの関連する副作用が格納されたパッケージをローカル検疫から中央検疫に自動的に転送できます。中央検疫を使うと、より簡単に犯跡情報を収集できます。このツールを使うと、感染したコンピュータに直接にアクセスせずに、そのコンピュータからサンプルを取得できます。
次の場合に、
Symantec Endpoint Protection
環境で検疫サーバーを使います。
  • Symantec Endpoint Protection
    から疑わしい脅威サンプルを取得する。
  • これらのサンプルをセキュリティレスポンスに自動的に提出する。
  • 検疫サーバーにのみ提出された疑わしい脅威に固有のラピッドリリース定義をダウンロードする。これらの定義は、脅威の発生元である
    Symantec Endpoint Protection
    クライアントにプッシュされません。次のサイトを参照してください。
詳細については、次を参照してください。
CleanWipe
CleanWipe は
Symantec Endpoint Protection
製品をアンインストールします。CleanWipe は、Windows のコントロールパネルなどその他のアンインストール方法が失敗した後の最終手段としてのみ使ってください。次のサイトを参照してください。
このツールは次の場所(64 ビット)にあります。C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
ContentDistributionMonitor (SEPMMonitor)
ContentDistributionMonitor ツールを使うと、お使いの環境で複数のグループ更新プロバイダ (GUP) を管理、監視できます。このツールは、GUP の健全性とコンテンツの配布状態をグラフィックで表示します。次のサイトを参照してください。
ディセプション (14.0.1)
「ディセプタ」を使用しているエンドポイントで、ディセプションを使用して敵対者の活動を検出します。このアプローチは、攻撃者がネットワークの基本的な防御をすでに突破し、環境で偵察を行っているということを根底で仮定しています。攻撃者は、ドメインコントローラやデータベースの資格情報のような重要な資産を見つけようとします。
DeviceInfo (14)、DevViewer
DeviceInfo( Mac 用、バージョン 14 現在)と DevViewer(Windows 用)を使って、特定のデバイスのデバイス製造元、モデルまたはシリアル番号を取得します。この情報を
ハードウェアデバイス
リストに追加します。次にデバイス ID をデバイス制御ポリシーに追加して、クライアントコンピュータのデバイスを許可または遮断します。
以下の場所にある「Attachments」から DevViewer をダウンロードします。
詳細については、次を参照してください。
統合 (WebServicesDocumentation)
バージョン 14 で、Integration フォルダの名前が
WebServicesDocumentation
に変更されました。次のサイトを参照してください。
IT Analytics
IT Analytics ソフトウェアは、カスタムレポートとカスタムクエリーの作成を可能にすることで、
Symantec Endpoint Protection
の組み込みレポートを拡張します。
Symantec Endpoint Protection Manager
データベースに含まれるデータに基づいた多次元分析とグラフィカルレポート作成機能を提供します。この機能により、データベースやサードパーティレポート作成ツールに関する高度な知識なしで、独自にデータを攻略できます。
JAWS
JAWS スクリーンリーダープログラムとスクリプトセットにより、
Symantec Endpoint Protection
のメニューとダイアログの閲覧が容易になります。JAWS は第 508 条の製品アクセシビリティに準拠する補助技術です。
LiveUpdate Administrator
Symantec LiveUpdate Administrator は
Symantec Endpoint Protection
と別途のスタンドアロン Web アプリケーションです。LiveUpdate Administrator は LiveUpdate 公開サーバーのコンテンツをミラー化し、そのコンテンツを内蔵 Web サーバーを介してシマンテック製品に内部的に提供します。
LiveUpdate Administrator は
Symantec Endpoint Protection
のオプションコンポーネントです。
Symantec Endpoint Protection
クライアントの更新には必要ありません。デフォルトで、
Symantec Endpoint Protection Manager
は LiveUpdate Administrator ではなく LiveUpdate 技術を使って、シマンテック社の LiveUpdate 公開サーバーからコンテンツを直接にダウンロードします。
LiveUpdate Administrator は一部の状況で使うことができます。たとえば、多数の非 Windows クライアントにコンテンツをダウンロードしたり、
Symantec Endpoint Protection Manager
がコンテンツをダウンロードできない場合にクライアントにコンテンツをダウンロードしなければならない場合があります。したがって、LiveUpdate Administrator サーバーをインストールしてから、コンテンツをダウンロードするように
Symantec Endpoint Protection Manager
を設定することができます。次のサイトを参照してください。
LiveUpdate Administrator とマニュアルをダウンロードするには、以下を参照してください。
サポート外 > MoveClient
MoveClient
は、クライアントのホスト名、ユーザー名、IP アドレス、またはオペレーティングシステムに基づいて
Symantec Endpoint Protection Manager
グループ間でクライアントを移動する Visual Basic スクリプトです。クライアントのユーザーモードとコンピュータモードを切り替えます。次のサイトを参照してください。
サポート外 > Qextract
Qextract
は、クライアントのローカル検疫からファイルを抽出して復元します。このツールが必要になるのは、 クライアントで検疫されたファイルが誤認であるとわかった場合です。
サポート外 > SEPprep(12.1.6 以前)
SEPprep は、競合他社のウイルス対策製品を自動的にアンインストールするサポート対象外のツールです。ノートンから
Symantec Endpoint Protection
に移行する場合、SEPprep はシマンテック社の Norton
製品もアンインストールします。
競合他社の製品をアンインストールするスクリプトに SEPprep をパッケージ化して、
Symantec Endpoint Protection
インストーラを自動的かつサイレントに起動できます。
競合他社の製品をアンインストールするには、SEPprep ではなく、クライアント配備ウィザードを使います。ウィザードの
[クライアントインストールの設定]
タブで
[既存のサードパーティのセキュリティソフトウェアを自動的にアンインストール]
をクリックします。
詳細については、次を参照してください。
クライアント配備ウィザードでアンインストールされる製品のリストについては、以下を参照してください。
SEPprep はシマンテック製品をアンインストールしません。ただし、バージョン 14 以降では、CleanWipe がクライアント配備ウィザードに組み込まれて、
Symantec Endpoint Protection
クライアントを含むその他のシマンテック製品を削除できるようになりました。
OfflineImageScanner(12.1.6 以前)
このツールは、オフラインの VMware 仮想ディスク(.vmdk ファイル)をスキャンして、脅威を検出します。次のサイトを参照してください。
PushDeploymentWizard
プッシュ配備ウィザードを使って、
Symantec Endpoint Protection
クライアントインストールパッケージを対象コンピュータに配備します。プッシュ配備ウィザードは、
Symantec Endpoint Protection Manager
のクライアント配備ウィザードに相当します。通常、このウィザードはコンピュータまたはリモートコンピュータの小規模なグループに配備するときに使います。次のサイトを参照してください。
詳しくは、「Overview of the Push Deployment Wizard in Symantec Endpoint Protection」を参照してください。
SylinkDrop
Sylink.xml ファイルには Windows クライアントまたは Mac クライアントと Symantec Endpoint Protection Manager 間の通信設定が含まれています。クライアントと
Symantec Endpoint Protection Manager
との通信が切断された場合は、SylinkDrop ツールを使って、クライアントコンピュータの既存の Sylink.xml ファイルを新しい Sylink.xml ファイルで置き換えます。
Sylink.xml ファイルの置換では次のタスクが実行されます。
  • 管理下クライアントに管理外クライアントを変換する
  • 新しいドメインか管理サーバーにクライアントを移行するか、または移動する
  • 管理サーバーで修正できないクライアントに対する通信の破損を復元する
  • 1 つのサーバーから複製パートナーではない別のサーバーにクライアントを移動する
  • 1 つのドメインから別のものにクライアントを移動する
このツールは Windows クライアント専用として使うこともできます。このツールは次の場所に配置されています(64 ビット版)。
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
詳細については、次を参照してください。
SymDiag (SymHelp)
バージョン 14 で、SymHelp ツールの名前が Symantec Diagnostic (SymDiag) に変更されました。
SymDiag
は、よくある問題を特定して、サポートが支援するトラブルシューティングのためのデータを収集し、他のお客様の自力での解決やサポートリソースへのリンクを提供するマルチ製品診断ツールです。
SymDiag
では、シマンテック製品や潜在的なマルウェアの発見に役立つ脅威分析スキャンのライセンスとメンテナンスの状態も提供します。
仮想化
この仮想ツールは、仮想デスクトップインフラストラクチャ(VDI)環境にインストールされているクライアントのスキャンパフォーマンスを向上します。
  • SecurityVirtualAppliance (12.1.6 以前)
    シマンテック社のセキュリティ仮想アプライアンスには、VMware vShield インフラストラクチャで使う vShield 対応の共有インサイトキャッシュが含まれます。次のサイトを参照してください。
  • SharedInsightCache
    共有インサイトキャッシュツールは、
    Symantec Endpoint Protection
    クライアントがクリーンであると判断したファイルをスキャンしないことによって、仮想化された環境のスキャンパフォーマンスを向上します。クライアントがファイルの脅威をスキャンし、それがクリーンであると判断すると、クライアントはファイルについての情報を共有インサイトキャッシュに提出します。
    その後で別のクライアントが同じファイルのスキャンを試みたときは、そのクライアントが共有インサイトキャッシュに照会して、ファイルがクリーンかどうかを確認できます。ファイルがクリーンな場合、クライアントはその特定ファイルをスキャンしません。ファイルがクリーンでない場合、クライアントはファイルのウイルスをスキャンして、その結果を共有インサイトキャッシュに提出します。
    共有インサイトキャッシュはクライアントとは独立して実行する Web サービスです。ただし、クライアントが共有インサイトキャッシュと通信できるように、
    Symantec Endpoint Protection
    を設定して共有インサイトキャッシュの場所を指定する必要があります。Shared Insight Cache は HTTP または HTTPS によってクライアントと通信します。クライアントの HTTP 接続は、スキャンが終了するまで維持されます。次のサイトを参照してください。
  • 仮想イメージの例外
    VDI 環境のパフォーマンスとセキュリティを向上するための一般的な手段では、必要に応じて基本イメージを使って仮想マシンセッションを構築します。シマンテック社の仮想イメージ例外ツールを使うと、
    Symantec Endpoint Protection
    クライアントで基本イメージファイルの脅威のスキャンをバイパスできるため、ディスク I/O のリソース負荷を軽減できます。さらに、VDI 環境の CPU スキャンプロセスのパフォーマンスも向上します。次のサイトを参照してください。
WebServicesDocumentation (統合)
12.1.6 以前の場合、このツールは \Tools\Integration フォルダにあります。
Symantec Endpoint Protection
には、リモート監視および管理 (RMM) アプリケーションのサポートを提供するため、Web サービスの形式で公開 API のセットが含まれています。これらの Web サービスはクライアントと管理サーバー上で機能を提供します。
Symantec Endpoint Protection
Web サービスに対するすべての呼び出しは
OAuth
を使って認証され、認証済みの
Symantec Endpoint Protection
管理者のアクセスのみを許可します。開発者は、これらの API を使って、所属する会社のサードパーティネットワークセキュリティソリューションを
Symantec Endpoint Protection
管理サーバーとクライアントと統合します。
リモート管理とリモート監視のサポートを提供します。リモート管理は、サードパーティのソリューションまたはカスタムコンソールに基本的なクライアントと管理サーバーの機能を統合できる、Web サービス形式の公開 API を使って提供されます。リモート監視は公式にサポートされているレジストリキーと Windows イベントログ記録を使って提供されます。
リモート管理用の Web サービスは次のタスクを実行できます。
  • Windows イベントログへのライセンス状態の報告に加えて、Web サービス呼び出し別に管理サーバーのライセンス状態とコンテンツ状態を報告する。
  • 更新、更新とスキャン、再起動などのコマンドをクライアントに送信する。
  • クライアントに配布されるポリシーを管理する。ポリシーは別の管理サーバーからインポートしたり、別の管理サーバーのグループまたは場所に割り当てたりできます。

Symantec Endpoint Protection Manager と一緒にインストールされるツール

次のツールは
Symantec Endpoint Protection Manager
と一緒に次の場所にインストールされます。
C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
CollectLog
CollectLog.cmd は
Symantec Endpoint Protection Manager
ログを圧縮 .zip ファイルにアーカイブします。この .zip ファイルは、トラブルシューティングの目的でシマンテック社のサポートまたは別の管理者に送信します。
このツールは次の場所(64 ビット)にあります。C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
データベース検証
dbvalidator.bat を使って、
Symantec Endpoint Protection Manager
を実行するデータベースの問題に対するサポートの診断を支援します。
このツールは次の場所(64 ビット)にあります。C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
SetSQLServerTLSEncryption(14)
Symantec Endpoint Protection Manager
は、デフォルトで暗号化されたチャネル上で Microsoft SQL Server と通信します。このツールを使うと、管理サーバーと Microsoft SQL Server 間の通信で TLS 暗号化を無効または有効にできます。バージョン 14 では、このツールは Microsoft SQL Server データベースを使うように設定した管理サーバーインストールで使うことができます。
このツールは、Symantec Endpoint Protection Manager と共に次の場所(64 ビット)にインストールされます。C:\Program Files (x86)\Symantec\Symantec Endpoint Protection Manager\Tools
Symantec Endpoint Protection Manager
API リファレンス (14)
Symantec Endpoint Protection Manager
には、Endpoint Detection and Response (EDR) から
Symantec Endpoint Protection Manager
に接続して操作する一連の REST API が含まれています。
Symantec Endpoint Protection Manager
にアクセスできない場合は、これらの API を使います。マニュアルは次の場所にあります。
  • Symantec Endpoint Protection Manager
    サーバー上の次のアドレス(URL 内の
    SEPM-IP
    Symantec Endpoint Protection Manager
    サーバーの IP アドレスです)
    https://
    SEPM-IP
    :8446/sepm/restapidocs.html
    IP アドレスには IPv4 と IPv6 があります。IPv6 アドレスは次のように角カッコで囲む必要があります:
    http://[
    <SEPMServer>
    ]:
    <ポート番号>
  • API ドキュメント。次のサイトを参照してください。
    Endpoint Security REST API のマニュアル